KİŞİSEL VERİLERİ KORUMA KURULUNUN SPOR SALONLARINA İLİŞKİN BİYOMETRİK VERİ KARARLARININ DEĞERLENDİRİLMESİ HAKKINDA

-HUKUK BÜLTENİ-

                                               BÜLTEN TARİHİ: 17/06/2020

I. GİRİŞ

Kişisel verilerin korunması hukuku dünya genelinde mahremiyeti koruyucu şekilde gelişim gösterirken; Kişisel Verileri Koruma Kurulu (“Kurul”) da verdiği kararlarla 6698 sayılı Kişisel Verilerin Korunması Kanununda (“KVKK”) uygulamadaki görünümünün çerçevesini çizmeye devam etmektedir. Kurul kararları kişisel veri işleyicileri açısından uygulamada nelerle karşılaşılabileceği noktasında örnek teşkil etmektedir. Bu hukuk bülteninde ise Kurulun spor salonlarında el ve parmak/ avuç içi tarama sistemi kullanılması nedeniyle verdiği 25/03/2019 ve 2019/81 sayılı ve 31/05/2019 tarihli ve 2019/165 sayılı[1] ve yakın zamanda verdiği 27/02/2020 tarihli ve 2020/167 sayılı[2] karar özetleri biyometrik verinin işlenmesi kapsamında ele alınmaya çalışılacaktır.

II. BİYOMETRİK VERİ KAVRAMI

Biyometrik veri kavramı KVKK’da açıkça tanımlanmamış olmakla birlikte;  6. maddede “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.” denilerek sınırlı sayıda sayılan özel nitelikli kişisel veriler arasında anılmıştır ve işlenmesi belli şartlara tabi tutulmuştur.

KVKK’da özel nitelikli kişisel verinin tanımı olmasa da Kişisel Verilerin Korunması Kanunu’na İlişkin Uygulama Rehberi’nde[3] “öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki veriler” şeklinde tanımlama yapılmıştır ve korunmasının daha sıkı bir rejime tabi olduğu belirtilmiştir.

Kurul da biyometrik veri işlenmesine ilişkin verdiği kararlarda kavram hususunda Avrupa Genel Veri Koruma Tüzüğü’ne (“GDPR”) atıfta bulunmaktadır. GDPR’da ise biyometrik veri kavramı “yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler” şeklinde tanımlanmıştır. Yine Kurul kararlarında GDPR’a gönderme yoluyla bir verinin biyometrik veri olarak değerlendirilmesi için o verinin sadece o kişiyi tanımlayabilme veya doğrulayabilme özelliğini haiz olmasının kriter alındığı değerlendirmesinde bulunmuştur.

Bu durum her ne kadar GDPR doğrudan ve tamamıyla iktibas edilmese de ve KVKK’da yer yer ayrık uygulamalar söz konusu olsa da uygulamada GDPR’ın yol gösterici olmaya devam edeceğini göstermektedir.

III. BİYOMETRİK VERİNİN İŞLENEBİLMESİ

Biyometrik veri özel nitelikli kişisel verilerden sayıldığından işlenebilmesi diğer verilere göre daha sıkı kurallara tabi tutulmuştur. Özel nitelikli verilerin işlenmesinde açık rıza ve kanuni istisna kavramlarının kısaca ele alınması faydalı olacaktır:

A. Açık Rıza

KVKK’nın 6. maddesinin 2. fıkrasına göre özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Ancak aşağıda ele alınacağı üzere bu yasak mutlak olmayıp istisnaları mevcuttur. 3. maddenin 1. fıkrasının a bendinde tanımlandığı üzere bu açık rıza “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanmış” olma unsurlarını haiz olmalıdır[4]:

• Belirli bir konuya ilişkin olma: Açık rızanın geçerli olabilmesi için işlemenin yapılacağı konu ilgiliye açıkça belirtilmeli ve işleme o konuyla sınırlandırılmalıdır. Belirsiz, genel geçer nitelikteki battaniye rızalar hukuken geçersiz sayılmaktadır.   
• Bilgilendirilmeye dayanma: Kişisel verisi işlenen kişinin açık rızasının geçerli olabilmesi için ilgili kişi neye rıza verdiğini ve rızasının sonuçlarının neler olacağını bilmelidir.
• Özgür iradeyle açıklanmış olma: Rızanın özgür iradeyle verilmiş olduğunun kabulü için kişinin iradesi fesada uğratılmamalı ve veri işleyen ilgilinin iradesini etkiliyor durumda olmamalıdır. Yine ilgili kişinin açık rızasının alınması, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemelidir.

B. Kanuni İstisna

Özel nitelikli kişisel verilerin işlenmesinde kural ilgilinin açık rızasının bulunması, istisna ise kanunda öngörülen hallerde ilgilinin açık rızası olmadan işlenebilmesidir. KVKK’nın 6. maddesinin 3. fıkrasında ikili bir ayrıma gidilmiştir. Buna göre;

• “Sağlık ve cinsel hayat dışındaki kişisel veriler, ancak kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.” Kanunda öngörülmediği takdirde bu kişisel verilerin işlenmesi mümkün değildir.
•  “Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” Burada kanunda öngörülme şartı aranmamış ancak ilgilinin açık rızası olmadan özel nitelikteki kişisel verileri işleyebilecek kişi ve kurumlar sayılmıştır.

IV. KARARLARIN DEĞERLENDİRMESİ

Kurulun verdiği kararlarda öne çıkan ortak payda aşağıdaki kıstaslar kapsamında açıklanmaya çalışıldığı üzere spor salonuna girişlerde el ve parmak izi taraması yapılmasının veya avuç içi okutma sistemlerinin kullanılmasının biyometrik veri kapsamında değerlendirileceği, alternatif yollar mümkün olduğundan ölçülülük ilkesine aykırı davranıldığı ve açık rıza belirli bir amaca yönelik olsa dahi aşırı miktarda veri toplanmasını meşrulaştırmayacağıdır. Kişisel verilerin yalnızca belirli amaçlar için ve gerektiği kadar toplanması, amacın gerektirdiği yerlerde kullanılması ve amaç için gerekli olandan uzun süre tutulmaması gerektiği vurgulanmıştır.

A. Ölçülülük İlkesi

KVKK’nın 4. maddesinin 2. fıkrasında kişisel verilerin işlenmesinde uyulması zorunlu ilkeler sayılmış olup bu ilkeler biri de ç) bendinde yer alan işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma yani “ölçülülük ilkesi”dir.

• Amaçla bağlantılı olma: Toplanan/ işlenen kişisel veri ile amaç arasında bir bağlantı olmalıdır; amacın gerçekleştirilmesine hizmet etmeyen kişisel veriler işlenmemelidir.
• Amaçla sınırlı olma: Toplanan/ işlenen kişisel veriler belirtilen amaç dışında kullanılmamalıdır.
• Ölçülü olma: Toplanan/ işlenen kişisel veri miktarı, niteliği, süresi ve kişisel veri toplama yöntemi ile ulaşılmak istenen amaç arasında oranlılık olmalıdır. Gerekli olmayan kişisel veriler toplanıp işlenmemeli, minimum düzeyde veri talep edilmeli ve amaca başka bir araçla ulaşılıp ulaşılamayacağı değerlendirilmelidir. Sonradan ortaya çıkabilecek gerekli durumlar için veri işlenmemeli; böyle bir durumda yeniden usule uygun olarak politika benimsenmelidir.

B. Açık Rıza Kavramı

Yukarıda açık rızanın geçerli olabilmesi için içermesi gereken hususlar izah edilmeye çalışılmıştır. Kurul spor salonlarına ilişkin verdiği kararlarında da aynı hususlara vurgu yapmış ve özellikle özgür irade hususuna işaret etmiştir. Herhangi bir ürün ve/veya hizmetin sunumunun, açık rıza verme ön şartına bağlanmaması gerektiği belirtilmiştir. Eğer yapılan seçimin sonuçları, kişisel veri sahibinin iradesini yani seçim özgürlüğünü etki altında bırakıyorsa, bu durumda rızanın özgürce verildiğini söylemek mümkün olmayacaktır. Bu sebeple spor salonundaki hizmetten faydalanabilmek için biyometrik veri olan el ve parmak/ avuç içi tarama sisteminin kullanılmasına onay verilmesinin şart koşulması göz önünde bulundurulduğunda verilen açık rızanın özgür iradeye dayalı olmadığı yönünde değerlendirme yapılmıştır. Belirli bir amaca bağlı olsa dahi açık rızanın ihtiyaçtan fazla veri toplanmasını/işlenmesini meşrulaştırmayacağı ve verinin amaca hizmet edecek yerlerde ve sürede kullanılması gerektiği unutulmamalıdır.

V. SONUÇ

KVKK’nın her iki spor salonuna verdiği cezada olayların ve gerekçelendirmelerin oldukça paralel olduğu görülmektedir. Hatta sonra verilen kararda ilk karardan büyük ölçüde alıntı yapıldığı görülmektedir. Temel olarak spor salonuna girişte el ve parmak/ avuç içi tarama sistemi kullanılması ölçülülük ilkesine aykırı bulunmuş ve giriş-çıkışların kontrolünün sağlanması amacına başka bir araçla ulaşılabileceği değerlendirmesi yapılmıştır. Spor salonu hizmetinin alınması için biyometrik veri işlenmesi şart koşulduğundan özel nitelikli kişisel verilerin işlenmesindeki açık rıza şartının yerine getirilmediği kabul edilmiştir. Çünkü üyeye sunulan bir alternatif söz konusu değildir ve üye açık rıza beyanında bulunmazsa hizmetten faydalanamayacak durumdadır ve iradesi serbest bir şekilde oluşmamaktadır.

Kararlarda, KVKK’da yer almayan kavramlarda GDPR’a atıf yapılması; yer yer ayrık uygulamalar söz konusu olsa da uygulamada GDPR’ın yol gösterici olmaya devam edeceğini göstermektedir. Yine kararların birinin 2019’da diğerinin ise 2020’de verilmiş olması Kurul kararlarının takibinin ne derece önemli olduğunu ortaya koymaktadır. Uygulama kararlar doğrultusunda oluştuğundan kararları takip ederek veri işleme sistemini uygun hale getirmek ve gereken önlemleri almak ceza alınmasını engelleyebilecektir.

Saygılarımızla

Forensis Hukuk Bürosu

Not: Bültenimizde yer verilen açıklamalar, ilgili mevzuat çerçevesinde konuyu genel hatlarıyla ele alır tarzda hazırlanmıştır. Size özel detaylı bilgi için bir hukuk bürosuyla bağlantıya geçmenizi tavsiye ederiz.